Phỏng vấn

Javed Hasan, Giám đốc điều hành và Đồng sáng lập, Lineaje – Loạt phỏng vấn

mm
Published

Javed Hasan, Giám đốc điều hành và Đồng sáng lập của Lineaje, là một chuyên gia an ninh mạng và phần mềm doanh nghiệp kỳ cựu với nhiều thập kỷ kinh nghiệm lãnh đạo tại các công ty như Oracle, Symantec, McAfee và Trellix. Trong suốt sự nghiệp của mình, Hasan đã lãnh đạo các đội sản phẩm, kỹ thuật và chiến lược lớn tập trung vào bảo mật điểm cuối, cơ sở hạ tầng đám mây, chuyển đổi SaaS và đổi mới an ninh mạng doanh nghiệp. Tại Lineaje, ông tập trung vào việc giải quyết một trong những thách thức phát triển nhanh nhất trong ngành: bảo mật chuỗi cung ứng phần mềm hiện đại bằng cách cung cấp cho các tổ chức cái nhìn sâu sắc vào các thành phần mã nguồn mở và của bên thứ ba được nhúng trong các ứng dụng phần mềm.

Lineaje là một công ty an ninh mạng chuyên về bảo mật chuỗi cung ứng phần mềm, giúp các tổ chức xác định, bảo mật và quản lý các rủi ro ẩn trong các依赖 phần mềm hiện đại. Nền tảng của công ty tập trung mạnh vào công nghệ Hóa đơn vật liệu phần mềm (SBOM), hoạt động như một danh sách thành phần cho phần mềm bằng cách lập danh mục tất cả các thành phần, thư viện và phụ thuộc được sử dụng trong một ứng dụng. Công ty cung cấp các công cụ cho phân tích rủi ro theo ngữ cảnh, khắc phục lỗ hổng tự động, quản lý tuân thủ và các quy trình làm việc chuỗi cung ứng phần mềm “tự chữa lành” được điều khiển bởi AI, được thiết kế để tự động xác định và sửa chữa các điểm yếu bảo mật trước khi triển khai. Công nghệ của Lineaje ngày càng liên quan khi các doanh nghiệp và chính phủ phải đối mặt với các mối đe dọa ngày càng tăng liên quan đến lỗ hổng nguồn mở, tấn công chuỗi cung ứng phần mềm và các yêu cầu tuân thủ xung quanh tính minh bạch SBOM.

Bạn đã giữ các vị trí lãnh đạo cấp cao tại các công ty như Oracle, McAfee, Symantec và Trellix, giúp định hình các sản phẩm an ninh mạng doanh nghiệp trong nhiều thập kỷ. Những kinh nghiệm trong các vị trí đó cuối cùng đã dẫn bạn đến việc đồng sáng lập Lineaje vào năm 2022, và vấn đề cốt lõi nào bạn quyết tâm giải quyết với công ty?

Với hơn ba thập kỷ trong lĩnh vực an ninh mạng, tôi đã xây dựng và mở rộng hơn 50 sản phẩm an ninh mạng doanh nghiệp, bao gồm cả việc dẫn dắt sự chuyển đổi của Symantec sang đám mây với Integrated Cyber Defense Manager (ICDM) và ra mắt một trong những nền tảng bảo mật điểm cuối SaaS lớn nhất trên toàn cầu. Trong những kinh nghiệm tại Oracle, McAfee, Symantec và Trellix, tôi đã thấy một mẫu nhất quán: các tổ chức được yêu cầu tin tưởng vào phần mềm mà họ không hiểu đầy đủ.

Ngành công nghiệp đã được tối ưu hóa cho tốc độ, nhưng không phải cho tính minh bạch. Mã nguồn mở, các thành phần của bên thứ ba, tự động hóa và bây giờ là mã được tạo bởi AI đã làm cho phần mềm nhanh hơn để xây dựng nhưng khó hiểu hơn. Niềm tin đã trở thành một giả định thay vì được xác minh.

AI không tạo ra vấn đề này; nó đã tăng tốc và暴露 một vấn đề đã tồn tại. Đó là lý do chúng tôi đã đồng sáng lập Lineaje vào năm 2022: để cung cấp cho các tổ chức một sự hiểu biết liên tục, toàn chu kỳ về những gì có trong phần mềm của họ và bây giờ là AI, từ đâu đến và làm thế nào để quản lý nó trước khi nó trở thành một rủi ro bảo mật hoặc tuân thủ.

Các cuộc tấn công chuỗi cung ứng phần mềm đã trở thành một trong những mối đe dọa an ninh mạng phát triển nhanh nhất, thường lan truyền qua các phụ thuộc nguồn mở và mã của bên thứ ba. Tại sao các công cụ bảo mật truyền thống lại gặp khó khăn trong việc giải quyết những rủi ro này một cách hiệu quả?

Các công cụ bảo mật truyền thống chủ yếu được xây dựng cho một mô hình hoạt động khác. Bảo mật truyền thống được xây dựng cho các ứng dụng. Rủi ro hiện đại sống trong các hệ sinh thái. Chúng được thiết kế để kiểm tra các ứng dụng tĩnh, các sự kiện ngoại vi hoặc các lỗ hổng已知 trong sự cô lập. Kết quả là, nhiều tổ chức vẫn đang hoạt động phản ứng, trong khi rủi ro bây giờ được phân bố trên các phụ thuộc, hệ thống xây dựng, kho lưu trữ gói, container, thư viện nguồn mở chuyển tiếp và các thành phần của bên thứ ba, thường được giới thiệu lâu trước khi sản xuất.

Hầu hết các công cụ truyền thống thiếu sự hiểu biết sâu sắc về dòng dõi, tính minh bạch liên tục và sự hiểu biết theo ngữ cảnh cần thiết để xác định liệu một thành phần rủi ro có thực sự có thể khai thác được, nó đã进入 môi trường như thế nào và nó kết nối với gì ở hạ游. Điều này khiến các tổ chức phản ứng trong một cảnh quan mà ngày càng đòi hỏi sự kiểm soát toàn chu kỳ liên tục.

Lineaje tập trung vào bảo mật chuỗi cung ứng phần mềm toàn chu kỳ, giúp các tổ chức hiểu chính xác những thành phần nào tồn tại trong các ứng dụng của họ và chúng có thể dễ bị tổn thương như thế nào. Tại sao mức độ minh bạch này đã trở nên quan trọng trong thời đại phần mềm được tạo bởi AI?

AI nén thời gian giữa việc tạo ra và暴露. Nó tăng tốc việc tạo mã mà không tự động tăng tính minh bạch, tính truy vết hoặc niềm tin. Khi các nhà phát triển và trợ lý AI có thể sản xuất mã và các quy trình làm việc với tốc độ chưa từng có, tổ chức vẫn cần biết chính xác những mô hình, thư viện, tác nhân và dịch vụ bên ngoài nào đang được giới thiệu vào môi trường.

Nếu không có sự minh bạch đó, bạn không thể quản lý những gì đang được xây dựng, xác nhận tuân thủ và tự tin giao phần mềm cho khách hàng. Trong thế giới được điều khiển bởi AI ngày nay, các tổ chức phải có thể theo dõi mọi phụ thuộc và tương tác mô hình, từ đâu đến và liệu nó có an toàn hay không.

Lineaje đang giới thiệu UnifAI, một bộ điều khiển chính sách AI tự động được thiết kế để quản lý và bảo mật các ứng dụng AI tự động tại thời điểm xây dựng. Khoảng trống nào trong hệ sinh thái phát triển AI hiện tại mà sản phẩm này nhằm giải quyết?

Các doanh nghiệp đang chuyển từ việc thí nghiệm AI sang triển khai các tác nhân tự động trên các quy trình làm việc thực tế. Ngắn gọn, họ cần một mặt phẳng điều khiển bảo mật và tuân thủ cho các ứng dụng AI tự động. Tuy nhiên, hầu hết họ vẫn chưa có một mặt phẳng điều khiển trung tâm để khám phá các tài sản AI, định nghĩa các chính sách nhất quán và thực thi các rào cản bảo mật và tuân thủ khi các hệ thống này được xây dựng.

UnifAI được thiết kế để lấp đầy khoảng trống đó. Nó hoạt động như một bộ điều khiển chính sách AI tự động, nhúng quản lý trực tiếp vào quy trình làm việc phát triển. Ngoài ra, nó liên tục khám phá các tài sản AI, tạo ra một Hóa đơn vật liệu AI (AI BOM), suy dẫn các chính sách và áp dụng các rào cản trước khi các ứng dụng đạt đến sản xuất.

Nhiều tổ chức đang chạy đua để triển khai các tác nhân AI và ứng dụng được tạo bởi AI, nhưng các đội bảo mật lo lắng về các rủi ro như tiêm lệnh, thư viện nguồn mở dễ bị tổn thương và các vấn đề tuân thủ. Những rủi ro này nghiêm trọng như thế nào ngày nay, và các công ty dễ bị tổn thương nhất ở đâu?

Các rủi ro này rất thực và nghiêm trọng ngày nay. Có lẽ thách thức lớn nhất với AI tự động là bề mặt tấn công rộng hơn và ít dự đoán hơn so với phần mềm tĩnh. Bạn có tiêm lệnh, rò rỉ dữ liệu, thư viện nguồn mở dễ bị tổn thương và thực thi chính sách yếu, thao túng lý lẽ, trôi chính sách, và ra quyết định vô hình trên các môi trường thấp mã và không mã, thường được giới thiệu lâu trước khi sản xuất.

Theo quan điểm của tôi, các công ty dễ bị tổn thương nhất vì tốc độ đã vượt qua quản lý, đặc biệt là khi các đội kinh doanh có thể lắp ráp các quy trình làm việc AI mạnh mẽ mà không có một khuôn khổ bảo mật thống nhất, hoặc khi các tổ chức không thể nhìn thấy tất cả các mô hình, tác nhân, kỹ năng và kết nối dữ liệu hoạt động trong môi trường của họ. Hệ thống có thể không thất bại về mặt kỹ thuật; nó có thể hoạt động đúng, nhưng lý lẽ nó vào một kết quả không an toàn. Đó là nơi rủi ro ẩn tích tụ nhanh nhất.

Một trong những thách thức mà các doanh nghiệp phải đối mặt là cân bằng giữa năng suất của nhà phát triển và quản lý bảo mật. Làm thế nào các công cụ như UnifAI có thể nhúng các kiểm soát bảo mật vào quy trình làm việc phát triển mà không làm chậm lại sự đổi mới?

Cách tiếp cận đúng là làm cho quản lý trở nên hoạt động ở nơi các nhà phát triển đã làm việc. UnifAI được xây dựng để tích hợp trực tiếp với các trợ lý mã và các nền tảng AI tự động thấp mã hoặc không mã, để chính sách có thể được áp dụng khi các ứng dụng được tạo ra chứ không phải thông qua xem xét thủ công sau khi thực tế.

Nó có thể tự động khám phá tài sản, đề xuất hoặc suy dẫn chính sách, dịch các tài liệu quản lý nội bộ thành các kiểm soát có thể thực thi và áp dụng các rào cản trong quy trình làm việc chính nó. Điều đó có nghĩa là chính sách trở nên có thể thực thi được bởi máy, thay vì được lớp trên. Khi thực hiện tốt, các nhà phát triển di chuyển nhanh hơn vì họ không phải dừng lại để diễn giải tuân thủ từ đầu, và các đội bảo mật đạt được sự nhất quán mà không trở thành một nút thắt.

Lineaje đã xây dựng các công cụ được điều khiển bởi AI để phân tích chuỗi cung ứng phần mềm và tự động khắc phục các lỗ hổng. Làm thế nào AI thay đổi cách các tổ chức quản lý rủi ro so với phân tích tĩnh truyền thống hoặc xem xét bảo mật thủ công?

AI thay đổi quản lý rủi ro bằng cách làm cho nó trở nên liên tục, theo ngữ cảnh và ngày càng tự động. Phân tích tĩnh truyền thống và xem xét thủ công vẫn có giá trị, nhưng chúng quá chậm và quá phân mảnh cho quy mô và tốc độ của phát triển phần mềm và AI hiện đại. Mục tiêu không phải là nhiều cảnh báo hơn. Mục tiêu là loại bỏ sự暴露 trước khi triển khai. AI có thể liên tục lập bản đồ môi trường, tương quan phụ thuộc, đánh giá rủi ro theo ngữ cảnh, đề xuất chính sách và trong nhiều trường hợp, tự động hóa khắc phục.

Thay vì chờ đợi một con người để khám phá ra vấn đề, phân loại nó và quyết định những gì để làm tiếp theo, các tổ chức có thể di chuyển toward các hệ thống có thể xác định vấn đề sớm hơn, hiểu được tác động có thể của chúng và thực hiện hành động sửa chữa nhanh hơn. Đó là nền tảng của bảo mật AI dựa trên kết quả: di chuyển từ phát hiện đến phòng ngừa, và cuối cùng là loại bỏ.

Khi AI bắt đầu tạo ra các phần lớn hơn của mã ứng dụng, các tổ chức nên nghĩ lại cách tiếp cận của họ với tính minh bạch phần mềm, tính truy vết và niềm tin trong những gì họ giao cho khách hàng?

Các tổ chức cần coi tính minh bạch là một yêu cầu hàng đầu. Trong một mô hình phát triển được hỗ trợ bởi AI, tính truy vết phải bao gồm toàn bộ chuỗi nhập, bao gồm mã, phụ thuộc nguồn mở, mô hình, tác nhân và các chính sách được áp dụng trong quá trình phát triển và triển khai. Điều đó đòi hỏi phải có các hóa đơn vật liệu động, chứng nhận mạnh mẽ hơn và một mô hình hoạt động mà trong đó niềm tin được xác minh liên tục thay vì được giả định.

Tiêu chuẩn phải trở thành: nếu bạn không thể theo dõi nó, quản lý nó và giải thích nó, bạn không nên giao nó.

Các quy định và yêu cầu tuân thủ đang ngày càng định hình cách các công ty bảo mật phần mềm và hệ thống AI. Bạn nhìn thấy các khuôn khổ quy định toàn cầu ảnh hưởng đến việc áp dụng công nghệ quản lý AI của doanh nghiệp như thế nào trong những năm tới?

Quy định sẽ là một chất xúc tác chính. Khi các yêu cầu về đảm bảo phần mềm và quản lý AI trở nên rõ ràng hơn, quản lý đang trở thành cơ sở hạ tầng hoạt động, không phải là một bài tập tuân thủ văn phòng. Các doanh nghiệp sẽ cần các hệ thống có thể hoạt động hóa chính sách thay vì quản lý tuân thủ thông qua bảng tính và kiểm toán tại một thời điểm.

Các tổ chức đã cố gắng tuân thủ các khuôn khổ mới nổi như Đạo luật AI của EU và các hướng dẫn đã thiết lập như OWASP Top Ten cho AI, nhưng họ cần công nghệ có thể dịch các yêu cầu đó thành các kiểm soát có thể thực thi trong môi trường phát triển và runtime.

Trong những năm tới, các nền tảng quản lý sẽ chuyển từ một điều tốt đẹp để có thành một phần của ngăn xếp kiểm soát cốt lõi của doanh nghiệp vì các nhà quản lý, khách hàng và hội đồng sẽ đều mong đợi bằng chứng có thể chứng minh về sự giám sát. Bằng chứng giám sát sẽ trở thành bắt buộc.

Nhìn về tương lai, tương lai của quản lý ứng dụng được điều khiển bởi AI sẽ như thế nào? Bạn có nghĩ rằng các hệ thống tự động sẽ quản lý một phần lớn của chu kỳ bảo mật phần mềm mình?

Có, tôi tin rằng các hệ thống tự động sẽ quản lý một phần lớn hơn của chu kỳ bảo mật phần mềm, nhưng với sự giám sát của con người tập trung vào chính sách, dung lượng rủi ro và xử lý ngoại lệ. Các đội bảo mật không thể theo đuổi mọi vấn đề trên các hệ sinh thái phần mềm và AI rộng lớn. Quản lý phải hoạt động ở tốc độ AI.

Tương lai là một mô hình mà con người định nghĩa ý định và chính sách trong khi các hệ thống tự động thực hiện liên tục. Các nền tảng thông minh sẽ liên tục khám phá tài sản, duy trì hóa đơn vật liệu sống, phát hiện mối đe dọa, thực thi chính sách và khắc phục các vấn đề trong thời gian thực. Các đội con người vẫn sẽ đặt hướng và đưa ra các quyết định có hậu quả cao, nhưng quản lý liên tục, thực thi tự động và niềm tin hoạt động sẽ trở thành nền tảng. Đó là cách duy nhất bền vững để quản lý phần mềm và AI tự động tại tốc độ mà các tổ chức hiện nay mong đợi để xây dựng.

Cảm ơn vì cuộc phỏng vấn tuyệt vời, những người đọc muốn tìm hiểu thêm nên truy cập Lineaje.

mm

Antoine là một nhà lãnh đạo có tầm nhìn và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi một niềm đam mê không ngừng nghỉ để định hình và thúc đẩy tương lai của AI và robot. Là một doanh nhân liên tục, ông tin rằng AI sẽ gây ra sự gián đoạn cho xã hội giống như điện, và thường bị bắt gặp nói về tiềm năng của các công nghệ gây gián đoạn và AGI.
Như một futurist, ông dành để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập của Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên tiến đang định nghĩa lại tương lai và thay đổi toàn bộ lĩnh vực.